Close
Czy wyświetlić tę stronę w Twoim języku?
Wszystkie języki
Wybierz swój język

Zasady Atlassian dotyczące technologii i bezpieczeństwa

Firma Atlassian opracowała program zarządzania bezpieczeństwem informatycznym (ISMP) opisujący zasady i reguły realizacji programów z zakresu zaufania i bezpieczeństwa. Udaje się to osiągnąć dzięki ciągłej ocenie zagrożeń dla naszej działalności i poprawie bezpieczeństwa, poufności, integralności i dostępności naszego środowiska Atlassian. Regularnie sprawdzamy i aktualizujemy zasady bezpieczeństwa, przeprowadzamy testy bezpieczeństwa aplikacji i sieci w naszym środowisku oraz monitorujemy zgodność z zasadami bezpieczeństwa.

Poniżej znajduje się wykaz i krótki opis głównych zasad technologii i bezpieczeństwa, które firma Atlassian wprowadziła w swoich środowiskach wewnętrznych i chmurowych.

Spis treści

Zasady i zagrożenia dla bezpieczeństwa oraz zarządzanie bezpieczeństwem

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania bezpieczeństwem w Atlassian.

Podstawowe zasady (tl;dr) obejmują:

  • Atlassian będzie zarządzać dostępem do informacji o firmie i informacji o klientach w zależności od potrzeb biznesowych i zgodnie z wartościami Atlassian.
  • Atlassian wdroży szereg środków kontroli w celu zarządzania wdrażaniem zabezpieczeń zgodnie z niniejszymi zasadami.
  • Atlassian będzie okresowo dokonywać przeglądu ryzyka i skuteczności środków kontroli mających na celu ograniczenie tych obszarów ryzyka.
  • Atlassian będzie z zaangażowaniem dążyć do osiągania zgodności z właściwymi przepisami dotyczącymi ochrony danych umożliwiających identyfikację tożsamości oraz warunkami umów zawieranych z użytkownikami produktów Cloud, a także świadczyć wsparcie w tym zakresie.

Zarządzanie dostępem

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania dostępem.

Podstawowe zasady (tl;dr) obejmują:

  • Atlassian będzie stosować zasady kontroli dostępu określające sposób zarządzania dostępem do systemów.
  • Konta użytkowników będą używane do zarządzania dostępem.
  • Wszyscy użytkownicy są odpowiedzialni za zarządzanie dostępem do swoich systemów.
  • Systemy będą rejestrowane i monitorowane pod kątem potencjalnie niepożądanego dostępu.
  • Dostęp zdalny będzie możliwy za pośrednictwem uwierzytelniania wieloskładnikowego.
  • W stosownych przypadkach obowiązki powinny być rozdzielone.

Zarządzanie zasobami

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania zasobami informatycznymi firmy Atlassian oraz sposobu postępowania z tymi zasobami.

Podstawowe zasady (tl;dr) zarządzania zasobami w Atlassian:

  • Atlassian będzie prowadzić inwentaryzację zasobów.
  • Przy zasobach wprowadzonych do bazy danych zarządzania zasobami będą wskazani właściciele zasobów.
  • Dopuszczalne sposoby korzystania z zasobów zostaną wskazane, udokumentowane i wdrożone.
  • W przypadku rozwiązania stosunku pracy zasoby zostaną zwrócone firmie Atlassian.

Zachowanie ciągłości działania i odzyskiwanie awaryjne

Niniejsze zasady określają ogólne reguły, które wyznaczają nasze podejście do odporności, dostępności i ciągłości procesów, systemów i usług w Atlassian. Określają one wymagania dotyczące ciągłości działania, odzyskiwania po awarii i procesów zarządzania kryzysowego.

Podstawowe zasady:

  • Właściciele systemów, procesów lub usług o znaczeniu krytycznym muszą zapewnić odpowiednią ciągłość działania i/lub odzyskiwanie po awarii, zgodne z tolerancją na zakłócenia w przypadku awarii.
  • Plany zapewniania ciągłości muszą uwzględniać odpowiednie środowisko pełniące funkcję „ostatniego bastionu”, które będzie zapewniało dostęp do (co najmniej) najważniejszych funkcji, a także plan przełączania na to środowisko. Należy również uwzględnić kwestie dotyczące wznawiania działalności w standardowym trybie.
  • Żaden system, proces ani żadna funkcja o znaczeniu krytycznym nie mogą zostać wdrożone do produkcji bez odpowiedniego planu ciągłości.
  • Co kwartał plany muszą być testowane, a problemy rozpoznawane i eliminowane.
  • Maksymalny czas odzyskiwania (RTO) liczony jest od momentu wykrycia zdarzenia do chwili uruchomienia podstawowej funkcjonalności. Usługi są pogrupowane w poziomy, dla których zdefiniowane są maksymalny czas odzyskiwania i docelowy punkt odzyskiwania.

Bezpieczeństwo komunikacji

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania bezpieczeństwem naszej komunikacji i naszych sieci.

Podstawowe zasady (tl;dr) obejmują:

  • Dostęp do sieci powinien być kontrolowany.
  • Zapewniony jest dostęp do sieci, a wszyscy użytkownicy powinni zapoznać się z zasadami dotyczącymi systemu elektronicznego i komunikacji.
  • Sieci powinny być posegregowane w oparciu o poziom krytyczności.

Kryptografia i szyfrowanie

Niniejsze zasady określają ogólne reguły, które dają pewność, że Atlassian wdraża odpowiednie strategie szyfrowania i kryptografii w celu zapewnienia poufności i integralności danych krytycznych. Atlassian wdraża mechanizmy kryptograficzne w celu ograniczania ryzyka związanego z przechowywaniem informacji poufnych i przesyłaniem ich za pośrednictwem sieci, także tych dostępnych publicznie (np. Internetu). Najważniejszym celem tego standardu jest usprawnienie stosowania niezawodnych, bezpiecznych i sprawdzonych technologii szyfrowania, aby ograniczać ryzyko nieautoryzowanego dostępu do danych wrażliwych firmy i/lub ich modyfikacji.

Podstawowe zasady (tl;dr) obejmują:

  • Dane wrażliwe są odpowiednio szyfrowane.
  • Zakres wybranego szyfrowania odpowiada poziomowi danych w klasyfikacji.
  • Zarządzanie kluczami kryptograficznymi odbywa się w sposób bezpieczny.
  • Stosowane będą tylko zatwierdzone algorytmy kryptograficzne i moduły oprogramowania.

Klasyfikacja danych

Niniejsze zasady wyznaczają i definiują klasyfikację ocen danych i zawierają opisy, przykłady, wymagania oraz wytyczne dotyczące postępowania z danymi uzyskującymi poszczególne oceny w klasyfikacji. Klasyfikacja ocen opiera się na wymaganiach prawnych, wrażliwości, wartości oraz poziomu krytyczności danych dla Atlassian, klientów Atlassian oraz partnerów i dostawców Atlassian.

Podstawowe zasady (tl;dr) obejmują:

  • Dane muszą być klasyfikowane pod względem wymogów prawnych, wartości i poziomu krytyczności dla Atlassian
  • Dane muszą być identyfikowane, oznaczane oraz aktualizowane na mapie przepływu danych, aby mieć pewność, że postępuje się z nimi w sposób właściwy
  • Dane z utylizowanych nośników muszą zostać bezpiecznie usunięte
  • Nośniki zawierające informacje o firmie muszą być zabezpieczone przed nieautoryzowanym dostępem, niewłaściwym użyciem lub uszkodzeniem podczas transportu

Urządzenia mobilne i własne urządzenia użytkowników (BYOD)

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące korzystania z urządzeń prywatnych w sieciach i systemach Atlassian.

Podstawowe zasady (tl;dr) obejmują:

  • Filozofia leżąca u podstaw niniejszych zasad korzystania z własnych urządzeń (nazywanych tutaj zasadami BYOD od ang. Bring Your Own Device lub zasadami) zakłada zachowanie maksymalnej dyskrecji i elastyczności w zakresie stosowania własnych urządzeń w celu zachowania autonomii Atlassian przy jednoczesnym zapewnieniu możliwości ochrony danych naszych klientów oraz firmy.
  • W związku z tym nacisk kładzie się na sprawdzanie konfiguracji / stanu zabezpieczeń oraz monitorowanie zgodności urządzeń z przepisami przy zastosowaniu możliwie najmniej restrykcyjnych zasad, jakie w rozsądny sposób pozwolą uzyskać wymagane cele związane z bezpieczeństwem, zamiast wymuszania ograniczeń. W obszarach wymagających zastosowania ograniczeń zostaną one zastosowane wybiórczo, w zależności od rodzaju danych, do jakich można uzyskać dostęp.
  • Niniejsze Zasady obejmują zarówno nasze obecne, jak i przewidywane przyszłe potrzeby. Niektóre z przedstawionych możliwości mogą nie zostać wdrożone natychmiast.

Operacje

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące praktyk związanych z obsługą zaplecza technologicznego w Atlassian.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Procedury działań operacyjnych będą dokumentowane.
  • Kopie zapasowe będą regularnie wykonywane i testowane.
  • Zmiany będą objęte procesem zarządzania i oceniane przez wiele osób.
  • Wydajność będzie poddawana ocenie, a plany będą ją uwzględniać.
  • Instalacja oprogramowania będzie ograniczona, podobnie jak zbędne oprogramowanie.
  • Dzienniki zostaną skonfigurowane i będą przekazywane do scentralizowanej platformy rejestrowania danych.
  • Zarządzanie wszelkimi incydentami operacyjnymi będzie się odbywało zgodnie z naszym standardowym procesem HOT

Bezpieczeństwo personelu

Niniejsze zasady określają ogóle reguły i wytyczne dotyczące bezpieczeństwa personelu w Atlassian.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Obowiązki związane z bezpieczeństwem będą określone w definicjach stanowisk.
  • Wszyscy pracownicy i użytkownicy będą regularnie przechodzić szkolenia uświadamiające w zakresie bezpieczeństwa.
  • Wszyscy pracownicy i wykonawcy mają obowiązek zgłaszania incydentów lub uchybień związanych z bezpieczeństwem.
  • Po ustaniu stosunku pracy z pracownikiem wycofanie dostępu i zwrot zasobów nastąpią w rozsądnym czasie.

Bezpieczeństwo fizyczne i środowiskowe

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zabezpieczania naszych budynków, biur i naszego sprzętu.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Zapewnienie bezpiecznego miejsca pracy.
  • Zabezpieczenie naszego sprzętu informatycznego bez względu na miejsce, w którym się znajduje.
  • Ograniczenie dostępu do naszych budynków i biur.

Prywatność

Niniejsze zasady określają reguły, których celem jest zapewnienie, że firma Atlassian wdraża stosowne środki bezpieczeństwa w celu ułatwienia ochrony prywatności danych.

Atlassian zdaje sobie sprawę, że pomimo skuteczności szyfrowania oraz innych technologii zwiększających ochronę prywatności (zwanych technologiami PET od ang. Privacy Enhancing Technologies), przy doborze i wdrażaniu technologii wymagane jest zachowanie dużej uwagi. W Atlassian stosujemy podejście do ochrony prywatności oparte na ryzyku, które uwzględnia charakter, zakres, kontekst i cele przetwarzania danych, a także prawdopodobieństwo i dotkliwość zagrożeń dla praw i swobód osób fizycznych.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Technologie PET powinny być dobierane zgodnie z podejściem opartym na ryzyku.
  • Technologie PET nie mogą uniemożliwiać firmie Atlassian spełnienia wymogów regulacyjnych dotyczących prawa do prywatności.
  • Technologie PET nie powinny osłabiać bezpieczeństwa systemów i usług przetwarzających dane.
  • Technologie PET nie powinny zakłócać możliwości przywrócenia dostępu do prywatnych danych i dostępności w przypadku naruszenia.
  • Technologie PET powinny umożliwiać regularne testowanie, ewaluację i ocenę skuteczności.

Zarządzanie incydentami związanymi z bezpieczeństwem

Niniejsze zasady określają reguły i wytyczne mające na celu zapewnienie, że Atlassian odpowiednio reaguje na wszelkie potwierdzone lub podejrzewane incydenty związane z bezpieczeństwem. Firma Atlassian jest odpowiedzialna za monitorowanie zdarzeń w organizacji, które mogą naruszać poufność, integralność lub dostępność informacji lub systemów informatycznych. Wszystkie podejrzenia incydentów muszą zostać zgłoszone i poddane ocenie. Zasady zostały wdrożone w taki sposób, aby zespół Atlassian Security mógł ograniczyć czas ich trwania i negatywny wpływ na firmę Atlassian oraz jej klientów, a także wyciągać wnioski z incydentów.

Podstawowe zasady (tl;dr) obejmują:

  • Przewidywanie incydentów związanych z bezpieczeństwem i przygotowanie do zareagowania na incydent.
  • Ograniczenie wpływu incydentów, eliminowanie ich i odzyskiwanie po ich wystąpieniu.
  • Inwestowanie w naszych pracowników, procesy i technologie, aby móc pewnie wykrywać i analizować incydenty związane z bezpieczeństwem, jeśli się pojawią.
  • Nadawanie ochronie danych osobowych oraz danych klientów najwyższego priorytetu w przypadku incydentów związanych z bezpieczeństwem.
  • Regularne ćwiczenie procedury reagowania na incydenty związane z bezpieczeństwem.
  • Wyciąganie wniosków z zarządzania incydentami związanymi z bezpieczeństwem i doskonalenie tego obszaru działalności.
  • Informowanie kierownictwa Atlassian o krytycznych incydentach związanych z bezpieczeństwem.

Zarządzanie dostawcami

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące wyboru, zatrudniania, monitorowania i offboardingu dostawców.

Podstawowe zasady:

  • Atlassian będzie celowo zarządzać procesem wyboru dostawców.
  • Wdrażanie wszystkich dostawców oraz zarządzanie nimi musi się odbywać zgodnie z procesami zapewniania należytej staranności i oceny ryzyka dostawców Atlassian.
  • Właściciel firmy wnioskujący o nawiązanie relacji z dostawcą ma obowiązek korzystać ze standardowych umów Atlassian.
  • Atlassian sprawuje nadzór nad stosunkami z dostawcą, aby spełniały one standardy przewidziane przez Atlassian.
  • Atlassian zastrzega sobie prawo do rozwiązania umowy z dowolnym dostawcą, gdy usługi takiego dostawcy przestaną być wymagane.

Pozyskiwanie, rozwój i konserwacja systemu

Te zasady określają ogólne reguły i wytyczne dotyczące tworzenia aplikacji, zarówno wewnętrznych, jak i przeznaczonych dla klientów, a także ograniczeń tworzenia w zakresie zarządzania środowiskami przedprodukcyjnymi i uwzględniania oprogramowania Open Source w dowolnych naszych produktach i usługach.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Wymagania dotyczące bezpieczeństwa zostaną uwzględnione w każdym środowisku lub procesie tworzenia bądź nabywania aplikacji i zostaną w nie włączone.
  • Podczas prac rozwojowych nad produktem będziemy przestrzegać naszych wewnętrznych procedur zapewniania jakości, uwzględniając w nich kontrole bezpieczeństwa.
  • Dane produkcyjne ograniczone zgodnie z zasadami zarządzania cyklem życia informacji związanych z bezpieczeństwem danych będą anonimizowane lub maskowane w przypadku stosowania w środowiskach przedprodukcyjnych.
  • Integracja dowolnych środowisk lub bibliotek Open Source będzie się odbywać zgodnie z naszym wewnętrznym standardem dotyczącym korzystania z kodu innych firm w produkcie Atlassian.

Zarządzanie zagrożeniami i lukami w zabezpieczeniach

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania zagrożeniami dla bezpieczeństwa i lukami w zabezpieczeniach zarówno w naszym środowisku, jak i w naszych produktach.

Podstawowe zasady (tl;dr) obejmują:

  • Zarządzanie lukami w zabezpieczeniach naszych produktów i usług, w tym wydawanie aktualizacji, poprawek lub zaleceń.
  • Zarządzanie zagrożeniami i lukami w zabezpieczeniach w całym naszym środowisku, zarówno wewnętrznym, jak i w środowiskach hostowanych.
  • Zarządzaj zagrożeniami związanymi ze złośliwym oprogramowaniem w środowisku.

Zarządzanie audytami i zapewnianiem zgodności z przepisami

Te zasady określają ogólne reguły zarządzania zgodnością z przepisami i przeprowadzania kontroli audytowych w tym zakresie w Atlassian.

Podstawowe zasady (tl;dr) obejmują:

  • Wdrażamy środki kontroli, aby właściwie zarządzać ryzykiem, i zapewniamy zgodność z odpowiednimi zasadami, przepisami i zewnętrznymi normami branżowymi.
  • Stosujemy audyty jako sposób weryfikacji adekwatności i skuteczności operacyjnej naszych środków kontroli.
  • W stosownych przypadkach organizuje się i przeprowadza audyty, aby uzyskać wysoko poziom pewności co do skuteczności naszego środowiska kontrolnego, a także otrzymać certyfikację wewnętrzną lub zewnętrzną.
  • Atlassian korzysta z zewnętrznej oceny środków kontroli.
  • Atlassian tworzy i monitoruje skonsolidowany obraz wszystkich istotnych celów kontrolnych, działań kontrolnych i testów.